كشف باحثو الأمن السيبراني عن شبكة Botnet جديدة مشتقة من Mirai تُعرف باسم xlabs_v1، تستهدف الأجهزة المتصلة بالإنترنت التي تعمل بخدمة Android Debug Bridge (ADB)، بهدف تجنيدها في هجمات حجب الخدمة الموزعة DDoS.
آلية الاستغلال والاستهداف
وفقًا لتقرير Hunt.io، فإن البرمجية الخبيثة تبحث عن الأجهزة التي تعرض منفذ TCP 5555 الخاص بـ ADB بشكل علني، ما يجعل أجهزة مثل صناديق التلفاز الذكية، أجهزة الاستقبال، الشاشات الذكية، وحتى بعض أجهزة التوجيه المنزلية أهدافًا محتملة.
البرمجية تأتي في صورة ملف APK باسم boot.apk، وتدعم عدة معماريات مثل ARM وMIPS وx86-64 وARC، ما يعكس تصميمها لاستهداف مجموعة واسعة من أجهزة إنترنت الأشياء.
قدرات الهجوم
يدعم xlabs_v1 أكثر من 21 نوعًا من هجمات الفيضانات عبر بروتوكولات TCP وUDP والبروتوكولات الخام، بما في ذلك أشكال مخصصة مثل RakNet وOpenVPN-shaped UDP، وهي تقنيات قادرة على تجاوز أنظمة الحماية التقليدية ضد هجمات DDoS.
الهدف الأساسي هو استهداف خوادم الألعاب مثل Minecraft، حيث يتم إرسال أوامر الهجوم من لوحة تحكم المشغل (xlabslover[.]lol) لتوليد حركة مرور ضخمة من الأجهزة المصابة.
خصائص إضافية
- البرمجية لا تعتمد على آليات الاستمرارية التقليدية مثل تعديل ملفات init أو إنشاء وحدات systemd أو مهام cron، بل تعيد إصابة الأجهزة عند الحاجة بعد إرسال بيانات قياس النطاق الترددي.
- تحتوي على نظام “killer” لإيقاف المنافسين والاستحواذ على كامل النطاق الترددي للجهاز المصاب.
- تتضمن روتينًا لقياس سرعة الاتصال عبر فتح 8192 مقبس TCP نحو أقرب خادم Speedtest، بهدف تصنيف الأجهزة ضمن مستويات تسعير مختلفة في خدمة DDoS-for-hire.
هوية المهاجم والبنية التحتية
تشير الأدلة إلى أن المهاجم يستخدم الاسم المستعار Tadashi، حيث يظهر هذا الاسم مشفرًا بخوارزمية ChaCha20 داخل كل نسخة من البرمجية. كما تم العثور على أدوات تعدين عملة Monero على خادم مرتبط بنفس البنية التحتية، لكن لم يتأكد بعد ما إذا كان النشاطان مرتبطين بنفس الجهة.
دلالات أمنية
يُصنّف الباحثون شبكة xlabs_v1 كتهديد متوسط المستوى، أكثر تطورًا من نسخ Mirai البدائية، لكنه أقل تعقيدًا من شبكات DDoS-for-hire التجارية الكبرى. ومع ذلك، فإن استهداف الأجهزة المنزلية وأجهزة الألعاب يوضح أن قطاع الألعاب يظل هدفًا رئيسيًا للهجمات السيبرانية، وأن مشغلي الخوادم بحاجة إلى تعزيز إجراءات الحماية بشكل عاجل.
